Hola, ¿me podrían decir si realmente funcionan los ataques de fuerza bruta por http? He estado probando algunos programas, como hydra y medusa con mi router, pero la respuesta que me da es que todos los users y passwords con válidos, con lo cual no funciona...
Lo que a mi no me queda muy claro es la forma en que trabajan estos programas de fuerza bruta. Mi página de login del router es una página .asp, donde aparte de la sección donde te logueas, hay más información contenida en la misma página. ¿Cómo es capaz el programa de identificar el campo exacto de html en el que tiene que probar las claves? ¿cual es el método que utiliza para probarlas? ¿influye que sea por el método GET o por el POST?

Otra cosa, ¿es posible hacer fuerza bruta sin diccionario? Es que todos los programas que veo sólo te lo permiten hacer con diccionario, ¿es posible hacer fuerza bruta probando todos los caracteres y numeros, pongamos de 5 cifras o tardaría demasiado?

Gracias, un saludo